In jüngster Zeit haben diverse Firmen eingestanden, Passwörter in unverschlüsselter Form zu sichern. Das ist vergleichbar mit dem Speichern eines Kennworts in einem Texteditor und dem Abspeichern als .txt-Datei. Aus Sicherheitsgründen sollten Passwörter jedoch „gesalzen“ und „gehasht“ werden. Weshalb geschieht dies im Jahr 2019 nicht flächendeckend?
Die Risiken der Klartextspeicherung von Passwörtern
Wenn ein Unternehmen Passwörter im Klartext aufbewahrt, ist es jedem möglich, diese zu lesen, der Zugriff auf die Passwortdatenbank oder eine andere Datei mit den Passwörtern erhält. Einem Hacker, der sich Zugang verschafft, ist es möglich, alle Passwörter einzusehen.
Die Speicherung von Passwörtern im Klartext stellt eine gravierende Sicherheitslücke dar. Unternehmen sollten stattdessen Passwörter mittels „Salting“ und „Hashing“ sichern. Dies bedeutet, dass „dem Passwort zusätzliche Daten hinzugefügt und es anschließend auf eine Weise verschlüsselt wird, die nicht mehr umkehrbar ist.“ Normalerweise bedeutet dies, dass selbst ein Diebstahl der Passwörter aus einer Datenbank deren Unbrauchbarkeit zur Folge hat. Beim Anmeldevorgang kann das Unternehmen prüfen, ob das eingegebene Passwort mit der hinterlegten, verschlüsselten Version übereinstimmt – es ist jedoch nicht möglich, das Originalpasswort aus der Datenbank auszulesen.
Warum also speichern Unternehmen Passwörter im Klartext? Leider nehmen einige Unternehmen die Sicherheit nicht immer ernst genug. Oder sie bevorzugen Bequemlichkeit anstelle von Sicherheit. In anderen Fällen kann es vorkommen, dass Unternehmen die Passwörter zwar korrekt speichern, jedoch durch übereifrige Protokollierungsfunktionen Klartextpasswörter aufzeichnen.
Mehrere Unternehmen mit Fehlern bei der Passwortspeicherung
Möglicherweise sind Sie bereits von diesen schlechten Praktiken betroffen, da unter anderem Robin Hood, Google, Facebook, GitHub und Twitter Passwörter unverschlüsselt speicherten.
Google hat Passwörter der meisten Nutzer korrekt gehasht und gesalzen. Allerdings wurden Passwörter für G Suite Enterprise-Konten im Klartext gespeichert. Laut Google sei dies eine Überbleibsel aus der Zeit, als Domain-Administratoren Tools zur Wiederherstellung von Passwörtern zur Verfügung gestellt wurden. Bei ordnungsgemäßer Speicherung der Passwörter wäre dies nicht möglich gewesen. Die Passwortwiederherstellung wäre lediglich durch ein Zurücksetzen des Kennworts möglich.
Auch Facebook hat die Speicherung von Klartextpasswörtern zugelassen, ohne die genaue Ursache zu benennen. Ein späteres Update deutet jedoch auf den Grund hin:
… wir haben zusätzliche Protokolle von Instagram-Passwörtern entdeckt, die in einem lesbaren Format gespeichert wurden.
Manchmal werden Passwörter bei der Ersterfassung korrekt gespeichert. Später können durch das Hinzufügen neuer Funktionen Probleme entstehen. Neben Facebook protokollierten auch Robin Hood, Github und Twitter versehentlich Klartextpasswörter.
Die Protokollierung ist hilfreich, um Fehler in Anwendungen, Hardware und sogar im Systemcode zu finden. Wird diese Funktion jedoch nicht gründlich getestet, können dadurch mehr Probleme entstehen als gelöst werden.
Im Fall von Facebook und Robinhood konnten die Protokollierungsfunktionen Benutzernamen und Passwörter während der Eingabe sehen und aufzeichnen. Diese Protokolle wurden dann an anderer Stelle gespeichert. Wer Zugriff auf diese Protokolle hatte, hatte somit alles, um Konten zu übernehmen.
In einigen seltenen Fällen, wie bei T-Mobile Australien, kann die Bedeutung der Sicherheit ignoriert werden – manchmal aus Bequemlichkeitsgründen. In einem inzwischen gelöschten Twitter-Austausch erklärte ein T-Mobile-Mitarbeiter, dass das Unternehmen Passwörter im Klartext speichere. Diese Art der Speicherung ermöglichte es Kundendienstmitarbeitern, die ersten vier Buchstaben eines Passworts zu sehen, um Authentifizierungszwecke zu erfüllen. Andere Twitter-Nutzer wiesen schnell darauf hin, wie problematisch es wäre, wenn einige…